Archives par mot-clé : rgpd

Cybersécurité, Entreprise, Fuite de données, loi, RGPD, Securite informatique

L’arnaque à la mise en conformité RGPD toujours en pleine forme !

Je vous faisais écouter, voilà bientôt un an, un interlocuteur proposant de vendre une mise en conformité RGPD. Une arnaque qu’avait dénoncé la CNIL dans un avertissement à destination des entreprises françaises. L’arnaque ne cesse pas !

Entré en application, il y a un an (le 25 mai 2018), le RGPD est plus que jamais un prétexte idéal pour des campagnes d’arnaques ciblant les entreprises françaises. Le blog ZATAZ avait été l’un des premier à alerter sur ce sujet [1] [2]. Depuis quelques semaines, une nouvelle variante de l’arnaque à la mise en conformité RGPD cible les entreprises. Cette arnaque est déjà connue, mais ici la méthode semble différente et très efficace. Décryptage de l’arnaque par Vade Secure, entreprise basée dans les Hauts de France, à Hem (59).

Un premier contact par courrier

Les escrocs ciblent les entreprises au travers d’une campagne de courriers au sujet d’une plainte d’un client concernant la mise en conformité à la RGPD. La technique est efficace. Des couleurs qui font officielles et des qui font peur.

« Si nous nous arrêtons quelques secondes sur ce document, le titre de la société – Comité Européen de la protection des données CFFE – semble reprendre le nom du Comité Européen de la protection des données CEPD, présent dans le texte de la RGPD à la section 3 du Chapitre VII (articles 68 à 76) » indique Sébastien Gest, Tech Évangéliste de Vade Secure.

L’adresse associée au dit comité est en fait une adresse de domiciliation située dans le 8e arrondissement de Paris. Contacté, l’interlocuteur de la société explique qu’il croule sous les appels pour ce même sujet depuis 15 jours. Un numéro de téléphone indiqué dans le but de traiter cette plainte. La personne au bout du fil développe alors un argumentaire efficace dans le but de vendre une prestation d’audit de mise en conformité afin de résoudre cette situation. Ces numéros de téléphone sont largement commentés et dénoncés.

Le paiement demandé par mail

Suite à cet appel un email contenant un lien de paiement par carte bancaire est envoyé dans le but de finaliser la transaction. D’un montant de 1194€, la prestation semble correspondre à un « Audit et à la rédaction du référentiel de traitement des données ».

Nous retrouvons dans cet email l’email présent dans le document papier mais ici en tant qu’expéditeur. Un lien de paiement par carte bancaire est ainsi proposé et ainsi qu’une nouvelle adresse apparaissant dans le but de contacter le support. Les domaines utilisent des extensions .eu et .online et sont déposés via le registrar américain namecheap.

En signature de cet email apparaît également le nom d’une société Française experte dans les domaines de la RGPD. Il ne nous est pas possible de certifier une possible implication de cette société dans cette escroquerie, nous avons donc souhaité de ne pas la citer.

Une arnaque ressemblant fortement à l’arnaque au support téléphonique

L’entreprise pensant devoir se mettre en conformité va dans les faits consommer une prestation dont elle n’a pas le besoin. Il est difficile d’évaluer le nombre de sociétés escroquées. Le seul indicateur reste le nombre de signalements sur les sites anti-escroqueries qui augmentent de jour en jour.

Porter plainte et faire un signalement aux autorités ? Clairement oui ! Les services de l’état ont mis en place le site https://www.pre-plainte-en-ligne.gouv.fr/ permettant de déposer une pré-plainte. À l’issue de ce signalement, un rendez-vous en gendarmerie est proposé. Il est vivement recommandé de déposer plainte et de faire remonter les informations aux services de Gendarmerie compétents.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

RGPD : la protection des données reste un enjeu majeur

Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.

Parmi les principaux chiffres à retenir, 1 200 à 1 300 notifications de violation de données ont été reçues par la commission. Ces chiffres déjà impressionnants ne sont que la partie visible de l’iceberg.

Pour Tanguy de Coatpont, Directeur général Kaspersky Lab France : « Il ne fait aucun doute que le nombre de violations de données en France est bien plus élevé. Malgré les efforts combinés de la CNIL et de l’ANSSI pour sensibiliser les entreprises, elles sont encore nombreuses à ignorer ce qu’est une violation de données et méconnaître les obligations que leur impose le RGPD. Pour les petites et moyennes entreprises notamment, c’est un véritable casse-tête car elles ne disposent souvent pas des compétences juridiques et informatiques nécessaires. Les utilisateurs sont les premiers pénalisés par cette situation, car leurs données personnelles exposées sont à la merci de personnes mal intentionnées qui souhaiteraient les monnayer d’une façon ou d’une autre. »

Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.

Une difficile mise en conformité, face à des menaces qui ne faiblissent pas

Une étude réalisée en novembre 2018 sur les mesures de sécurité et de protection prises par les PME depuis la mise en application du RGPD. Réalisée auprès de 700 décideurs en fin d’année 2018, elle révèle que près de 50% des PME n’ont pas renforcé leurs mesures de sécurité ; près de 77% n’ont pas réalisé d’audit de sécurité ; 1 PME sur 2 ne forme pas ses salariés aux questions de protection de données personnelles et de cybersécurité.

Pourtant, les menaces ne faiblissent pas

En 2018, 30,1% des utilisateurs de produits de l’éditeur de solutions commerciales de cybersécurité ont été confrontés à une attaque web de type malware, contre 29,4% en 2017. En 2018, 554 159 621 URLs uniques ont été reconnus comme malveillantes, contre 199 455 606 en 2017 (+178%). 1 876 998 691 attaques lancées repoussées, depuis des ressources en ligne, contre 1 188 728 338 en 2017.

Base de données, Cybersécurité, Entreprise, Fuite de données, IOT, loi, Mise à jour, RGPD, Securite informatique

Microsoft confronté au RGPD en raison d’une collecte de données via Word, Excel, PowerPoint et Outlook

Le gouvernement néerlandais vient de rendre public un rapport commandité à la Privacy Company et ayant pour mission de montrer du doigt la collecte de données appartenant aux utilisateurs de Word, Excel, PowerPoint et Outlook.

Selon le rapport de The Privacy Compagny, Microsoft, via Office 365 et Office 2016, collecterait des données sans l’autorisation de ses utilisateurs. Commandité par le gouvernement néerlandais, l’enquête a eu pour mission de démontrer une sauvegarde d’informations personnelles sur des serveurs américains, ce qu’interdit le Règlement Général de la Protection des Données. Seconde plainte, les utilisateurs dans l’ignorance de cette collecte. De plus, Microsoft refuse d’indiquer le contenu de cette collecte via Word, Excel, PowerPoint ou encore Outlook.

« Microsoft collecte systématiquement et à grande échelle des données sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Indique The Privacy Company. Et elle le fait en catimini, sans en avertir les utilisateurs. Microsoft ne précise absolument pas la quantité de données. L’entreprise ne permet pas non plus la désactivation. De savoir quelles informations sont collectées, car le flux des données est chiffré. ». Selon l’enquête, le géant américain mettrait à jour entre 23 000 et 25 000 « events » (sic!). 20 à 30 équipes d’ingénieurs travailleraient avec ces données. Windows 10 ne collecterait « que » 1 000 à 1 200 events.

Microsoft a rappelé qu’il existait une version d’Office sans le moindre transfert de données. Une mise à jour, prévue en avril 2019, doit corriger la collecte incriminée par TPC.

Communiqué de presse, Cybersécurité, Justice, loi, Mise à jour, RGPD, Securite informatique

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

backdoor, Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, loi, ransomware, Securite informatique

RGPD cas d’école : hôpital

Un logiciel malveillant a récemment touché plusieurs sites Web de l’hôpital de Floride. Certaines informations patients concernées.

« L’ampleur de cette exposition a été limitée et il a été confirmé qu’aucun dossier financier n’a été affecté » indique le communiqué de presse de l’hôpital de Floride. Une alerte lancée par l’hôpital de Floride à la suite du piratage de plusieurs de ses sites web : FloridaBariatric.com, FHOrthoInstitute.com et FHExecutiveHealth.com. Les espaces web ont été mis hors ligne le temps de la correction (et de l’enquête). Les informations des patients exposées sur FloridaBariatric.com comprennent les noms, les adresses mails, les numéros de téléphone, les dates de naissance, la taille, le poids, les compagnies d’assurance et les quatre derniers chiffres des numéros de sécurité sociale. Pour les deux autres sites, les informations compromises se limitent au nom, à l’adresse courriel, au numéro de téléphone et à à l’ensemble des commentaires fournis par l’individu. Bref, un ransomware activé après un clic malheureux sur un fichier joint !

Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Sauvegarde, Securite informatique

RGPD cas d’école banque

RGPD cas d’école banque – La banque du Commonwealth a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs !

RGPD cas d’école banque – L’une des plus grandes violations de la vie privée des services financiers vient de toucher l’Australie et plus précisément la banque du Commonwealth. Cette dernière a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs ! Des informations courant de 2004 à 2014. Le fautif, un sous-traitant qui a perdu plusieurs lecteurs de bandes contenant les informations financières.

Une « perte » qui a eu lieu en 2016.

Angus Sullivan, responsable des services bancaires de la Commonwealth Bank, a déclaré à BuzzFeed News que sa société « prenait la protection des données des clients très au sérieux et les incidents de ce type ne sont pas acceptables.« 

Les relevés bancaires perdus contiennent des renseignements personnels potentiellement sensibles et peuvent brosser un portrait détaillé des affaires financières et personnelles d’une personne. Ils pourraient être détournés par des pirates ou exploités par des sociétés commerciales qui pourraient utiliser les données à des fins illégitimes ou contraires à l’éthique. Pas de mot de passe et autres code PIN dans les bandes perdues.

BuzzFeed News a appris que la violation s’est produite en 2016, lorsque le sous-traitant de la banque, Fuji Xerox, mettait hors service un centre de stockage de données où certaines données de clients de la Banque Commonwealth étaient stockées. Le 25 mai 2018 en France, il faudra alerter la CNIL, les clients… et en cas de faute avérée, risquer une amende pouvant atteindre 4% de son chiffre d’affaire.

Base de données, Chiffrement, Cybersécurité, double authentification, Entreprise, Fuite de données, Justice, loi, RGPD, santé, Securite informatique

RGPD cas d’école santé

RGPD cas d’école – Une infirmière consulte des données de santé sans autorisation. L’hôpital obligé d’alerter plusieurs centaines de patients.

RGPD cas d’école – L’Office régional de la santé de Winnipeg (canada) indique son obligation d’alerter des centaines de patients après qu’une infirmière ait accédé de façon inappropriée à des renseignements médicaux personnels. L’autorité indique dans un communiqué de presse que l’infirmière, qui avait accès au système d’information du service des urgences, a fouillé de façon inappropriée alors qu’elle travaillait à l’extérieur de service d’urgence de l’hôpital de Grace.

Un cas que pourraient vivre des centaines d’hôpitaux Français à partir du 25 mai 2018. « L’accès à notre système d’information sur les urgences est vital pour les infirmières et les employés du service des urgences afin qu’ils puissent avoir accès à des renseignements sur la prestation des soins à n’importe quel moment de leur quart de travail, déclare l’ORSW. La seule fois où l’information peut être utilisée à l’extérieur du service des urgences, cependant, est pour les transferts de patients – ce qui n’a pas eu lieu dans ce cas. » 1 756 patients sont concernés par cette consultation non autorisée. Le 25 mai 2018 en France, il faudra alerter la CNIL, les patients.

Cybersécurité, Securite informatique

Protection des données personnelles : le Sénat a adopté le projet de loi en nouvelle lecture

Jeudi 19 avril 2018, le Sénat a adopté en nouvelle lecture, par 307 voix pour et 0 voix contre, le projet de loi relatif à la protection des données personnelles.

Nombre de votants : 343
Suffrages exprimés : 307
Pour : 307
Contre : 0

Ce projet de loi vise à :

  • mettre en conformité des dispositions nationales avec le droit de l’Union européenne en matière de protection des données personnelles, en particulier avec le règlement général sur la protection des données (RGPD) du 27 avril 2016 qui a pour objectifs de renforcer les droits des personnes physiques, de responsabiliser tous les acteurs traitant des données et de crédibiliser la régulation ;
  • tirer parti des marges de manœuvre ménagées par le droit de l’Union européenne, notamment en maintenant des régimes spécifiques ;
  • transposer la directive européenne relative aux traitements mis en œuvre en matière policière et judiciaire.

Sur le rapport de Mme Sophie JOISSAINS (Union centriste – Bouches-du-Rhône), la commission des lois a rétabli en nouvelle lecture les principales dispositions adoptées par le Sénat en première lecture, visant notamment à :

  • mieux accompagner les collectivités territoriales, en :
    • affectant le produit des amendes prononcées par la CNIL au financement de mesures d’accompagnement ;
    • créant une dotation communale et intercommunale pour la protection des données à caractère personnel ;
    • supprimant, comme pour l’État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives ;
  • renforcer les garanties pour les droits et libertés des citoyens, en :
    • prévoyant une autorisation préalable des traitements de données pénales ;
    • encourageant le recours au chiffrement des données personnelles ;
    • maintenant le droit général à la portabilité des données non personnelles ;
    • s’assurant que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée ;
    • encadrant plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup ») ;
    • maintenant à 16 ans l’âge du consentement autonome au traitement des données des mineurs.
Chiffrement, Cybersécurité, Mise à jour, santé, Securite informatique

Sécurité : Ça tousse du côté de la eSanté

eSanté : Les équipes de sécurité informatique doivent jouer un rôle primordial dans les hôpitaux.

eSanté – L’éditeur de solutions de sécurité informatique Trend Micro revient sur la problématique de la sécurité informatique dans le milieu de la santé. La dernière étude conjointe avec HITRUST, Securing Connected Hospitals, met en évidence deux aspects cruciaux de l’écosystème des soins de santé que les équipes informatiques doivent prendre en compte dans le cadre de leurs dispositifs de sécurité et de leurs partenaires tiers.

Nous pouvons penser que les hôpitaux seraient extrêmement sensibles à l’exposition des appareils sur Internet en raison des amendes imposées par la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA) et des règlements similaires pour les violations de l’exposition aux données. Mais lorsque Trend Micro a cherché des points sensibles liés aux soins de santé à l’aide de l’outil Shodan, ils ont été surpris de trouver un grand nombre de systèmes hospitaliers exposés.

Il a été découvert des systèmes médicaux exposés – y compris ceux qui stockent des images médicales, des interfaces de logiciels de soins de santé et même des réseaux hospitaliers mal configurés – qui ne devraient pas être consultables publiquement. Bien qu’un dispositif ou un système exposé ne signifie pas nécessairement qu’il soit vulnérable, les dispositifs et systèmes exposés peuvent potentiellement être utilisés par des cybercriminels et d’autres acteurs pour pénétrer dans des organisations, voler des données, exécuter des botnets, installer des rançongiciels, etc.

En outre, il montre qu’une quantité massive d’informations sensibles est accessible au public alors qu’elles ne devraient pas l’être.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Justice, loi, Securite informatique

Données personnelles : le RGPD et les collectivité territoriales

Données personnelles : la commission des lois du Sénat reste ferme sur la défense des libertés publiques et des collectivités territoriales et s’inquiète pour l’équilibre de nos institution.

Après l’échec de la commission mixte paritaire et une nouvelle lecture à l’Assemblée nationale, la commission des lois du Sénat s’est réunie pour examiner à son tour, en nouvelle lecture, le projet de loi relatif à la protection des données personnelles qui doit mettre la loi Informatique et libertés en conformité avec un règlement et une directive de l’Union européenne.

Lors de cette discussion, tous les intervenants ont déploré l’attitude du groupe majoritaire de l’Assemblée nationale qui, malgré les efforts des présidents et des rapporteurs des commissions des lois des deux chambres, a refusé tout compromis avec le Sénat. Ils y ont vu un signe préoccupant dans la perspective de la révision constitutionnelle annoncée.

Le président Philippe BAS (Les Républicains – Manche) a exprimé sa surprise qu’aucun terrain d’entente n’ait pu être trouvé entre les deux assemblées sur un texte urgent d’adaptation du droit interne au droit européen, dont les principales orientations sont consensuelles et pour lequel le législateur national ne dispose que d’une marge de manœuvre limitée. « Alors que l’avant-projet de loi constitutionnelle soumis par le Gouvernement au Conseil d’État comporte des dispositions qui affaiblissent le Parlement et portent atteinte à la séparation des pouvoirs, la méconnaissance par la majorité présidentielle du fonctionnement normal du bicamérisme a de quoi inquiéter. »

Sur le fond, le rapporteur Sophie JOISSAINS (Union Centriste – Bouches-du-Rhône) a rappelé que le Sénat, fidèle à son rôle traditionnel de chambre des libertés, s’était attaché en première lecture à rééquilibrer le projet de loi afin de renforcer les garanties pour les droits et libertés des citoyens. Le Sénat a notamment prévu de rétablir l’autorisation préalable des traitements de données pénales et de ne pas étendre inconsidérément leur usage, d’encourager le recours au chiffrement des données personnelles, de maintenir le droit à la portabilité des données non personnelles, de s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée, et d’encadrer plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup »).

« Comment admettre que les lycéens qui seront sélectionnés par les universités sur la base d’un algorithme ne puissent en connaître les paramètres ? N’y a-t-il pas là une contradiction flagrante avec les promesses de transparence réitérées par le Président de la République lors de son discours du 28 mars au Collège de France ? » s’est interrogée Sophie JOISSAINS.

Le rapporteur a également rappelé que le Sénat avait souhaité prendre en compte les difficultés spécifiques rencontrées par les collectivités territoriales, en prévoyant des mesures adaptées. «  Une collectivité n’est pas une start-up ! » a insisté Sophie JOISSAINS. « Les collectivités territoriales sont soumises à des sujétions tout à fait particulières, qui sont le corollaire de leurs missions de service public et de leurs prérogatives de puissance publique. Si elles mettent en œuvre des traitements de données personnelles, ce n’est pas pour en tirer profit, mais parce qu’elles y sont obligées par la loi ou pour rendre un meilleur service à nos concitoyens ! »

La commission des lois, tout en acceptant en signe de bonne volonté certaines modifications apportées au projet de loi par l’Assemblée nationale, a estimé nécessaire de rester ferme sur les principes défendus en première lecture. Elle a donc rétabli les principales dispositions alors adoptées par le Sénat.

Le projet de loi doit être examiné par le Sénat en séance publique les jeudi 19 et vendredi 20 avril 2018.